ChatGPT pour les cybercriminels : une démocratisation plus qu’une industrialisation

Atteignant désormais les 200 millions d’utilisateurs à travers le monde, ChatGPT a généré des usages « légitimes » très variés, allant du résumé de documents à la génération de textes (publicitaires, juridiques…), en passant par la création de code informatique et l’automatisation de tâches liées au service client… Dans quelle mesure ces usages peuvent-ils devenir « illégitimes » et servir les intérêts des pirates informatiques ?

Selon Benoît Grünemwald, expert en cybersécurité chez ESET, l’arrivée de ChatGPT – qui joue le rôle d’une immense base de connaissances – permet tout d’abord de diminuer la barrière à l’entrée pour certains cybercriminels : « Des personnes qui n’ont pas forcément les compétences nécessaires en informatique vont pouvoir tirer de ChatGPT un certain nombre de savoirs, un peu comme avec un assistant personnel ou un professeur. Cela va leur permettre de mieux comprendre les tactiques, techniques et procédures du cybercrime. Cette tendance est valable pour les cybercriminels novices, mais aussi pour ceux qui en vivent. »

Grâce aux facultés conversationnelles de ChatGPT, les pirates informatiques désireux de progresser dans leur discipline vont désormais être en mesure de demander à l’intelligence générative des exemples de codes malveillants. Ils pourront ensuite les tester et les modifier, en multipliant les itérations comme bon leur semble, de manière presque infinie.

La génération de textes : point fort de ChatGPT pour les cybercriminels

Un des autres points forts de ChatGPT réside dans sa capacité à produire des textes de toute nature. « Certes, il n’y a pas vraiment de style chez ChatGPT, c’est un langage plutôt policé. Mais cela correspond tout à fait au style très consensuel d’une banque, par exemple, ou de toute autre grande organisation. C’est donc un atout pour la rédaction d’e-mails de phishing, sachant que ChatGPT peut imaginer de multiples scénarios et traduire les contenus générés en plusieurs langues », analyse Benoît Grünemwald.

Concernant précisément la capacité à créer des scénarios, ChatGPT sera en mesure d’apporter une aide précieuse aux pirates : « Les attaques d’hameçonnage importantes comprennent généralement plusieurs séries d’e-mails, chacun d’entre eux gagnant progressivement la confiance de la victime. Pour le second, troisième et énième message, ChatGPT va faire gagner beaucoup de temps aux cybercriminels. Étant donné que le chatbot se souvient du contexte de la conversation, les e-mails suivants peuvent être joliment rédigés à partir d’une demande simple et courte », déclarent dans un article de blog des experts en cybersécurité de Kaspersky.

Au-delà des scénarios sur lesquels ChatGPT pourra exprimer tout son potentiel, l’intelligence générative d’OpenAI sera en mesure d’accompagner les cybercriminels dans la création de grandes quantités de variantes de textes. « Les acteurs du cybercrime-as-a-service utiliseront ChatGPT pour produire un volume important de phrases différentes les unes des autres, dans l’objectif de passer les filtres de certains outils de détection de spam, d’hameçonnage ou de sites frauduleux. Quand les cybercriminels sont dans une logique de passage à l’échelle, ChatGPT est un outil qui s’avère très utile », commente Benoît Grünemwald.

Un certain nombre de limites subsistent

En ce qui concerne la production de code informatique, ChatGPT peut également être sollicité pour créer de nouveaux malwares, mais cette production risque de se heurter à certains obstacles. « Si le code rédigé par le chatbot est utilisé, les solutions de sécurité vont le détecter et le neutraliser aussi rapidement et efficacement que n’importe quel autre programme malveillant créé par une personne. De plus, si ce code n’est pas vérifié par un expert en programmation, le programme malveillant va certainement contenir de petites erreurs et des failles logiques qui le rendront moins efficace. Pour le moment, les chatbots ne peuvent rivaliser qu’avec les créateurs de virus novices », précisent les experts de Kaspersky.

Une analyse que confirme Benoît Grunemwald : « ChatGPT peut être utilisé pour créer de fausses pages web ressemblant à des sites officiels. Cela étant, il existe déjà des kits mis à la disposition des cybercriminels. Ces kits, qui reprennent l’apparence de certains vrais sites, le font très bien. Je ne pense pas que l’IA soit capable de créer quelque chose d’aussi abouti. »

Alors, ChatGPT peut-il être considéré comme un tournant majeur ? « ChatGPT constitue, pour certains cybercriminels, la possibilité de faire un bond technologique, mais je ne suis pas persuadé que ce bond sera de la même ampleur que pour les usages légitimes. J’ai du mal à m’imaginer une progression spectaculaire du nombre d’attaques réussies grâce à ChatGPT ou à une autre intelligence artificielle », note Benoît Grünemwald.

Des questions qui restent en suspens

Un questionnement anime cependant l’expert en cybersécurité d’ESET : ChatGPT sera peut-être demain à l’origine d’ouvertures vers des domaines jusqu’à présent relativement épargnés par les cybercriminels qui, faute de connaissances suffisamment approfondies, se sont concentrés sur d’autres sujets. « ChatGPT sera peut-être bientôt à l’origine de malwares utilisant des protocoles industriels qui étaient auparavant l’apanage d’une certaine élite », déclare Benoît Grünemwald.

Autre question soulevée par Benoît Grünemwald : « L’utilisation d’API pour requêter les intelligences artificielles ou l’utilisation de modèles en Open Source me préoccupent plus que le reste. Finalement, la question qui se pose est de savoir ce qui se passerait si un groupe cybercriminel créait un OpenAI ou un ChatGPT du crime. Nous aurions alors affaire à une IA qui serait spécifiquement entrainée pour le cybercrime », conclut-il.

Les apports de ChatGPT au monde de la cybercriminalité sont encore restreints, bien que très concrets et réels. Les mois et les années qui viennent diront ce que les pirates informatiques feront de cette technologie et comment ils parviendront, avec plus ou moins de réussite, à l’industrialiser.